Чем полезна команда Linux для проведения судебной экспертизы скомпрометированного веб-сервера Linux для выдачи какой-либо информации / свидетельств / обратного отслеживания? например, проверка журнала, проверка последнего редактирования файла, подозрительный открытый порт и другие полезные автоматические команды для судебной экспертизы?
dd
. Сделайте снимок вашей взломанной машины, затем сотрите его и начните заново. Вы не можете больше доверять тому, что вам говорит ваш хозяин.
Однако после того, как вы сказали образ диска, возникает очень большой вопрос: «Чего вы хотите достичь?»? Если это доказательства / закон, то вам придется быть невероятно осторожным и, вероятно, захотеть проконсультироваться с юристом еще до того, как вы начнете.
Если нужно просто выяснить, что случилось, чтобы его взломать, я бы начал с:
Но, в конце концов, действительно хороший компромисс системы действительно трудно отследить полностью. Журналы будут «подобраны», временные метки исправлены. Единственные надежные источники - это мониторинг за пределами хоста, такой как удаленный сервер системного журнала, брандмауэр или система обнаружения вторжений ... но это то, что, если у вас нет заранее, вы слишком поздно.